Continuamos cubriendo el trabajo del equipo SOC (más sobre esto en nuestro artículo anterior ) en la última batalla cibernética The Standoff . Hoy hablaremos de los resultados de la monitorización utilizando el sistema PT Network Attack Discovery (PT NAD) NTA , desarrollado por Positive Technologies y detectando ataques en el perímetro y dentro de la red.
En seis días, PT NAD registró más de 8 millones de ataques, de los cuales 778 fueron únicos. La mayoría de los ataques detectados son el resultado de la actividad de varios escáneres de red y escáneres de vulnerabilidades automatizados. En nuestro caso, un ataque significa activar una regla de detección en el tráfico de red malicioso.
Penetración de la red interna
. : 29 , . .
2020 FF , , , , , , . , / .
. 340 000 , 313. , , , .
-15 , . HTTP- , Emerging Threats.
№ |
|
1 |
NERVE |
2 |
gobuster |
3 |
Fuzz Faster U Fool |
4 |
DirBuster |
5 |
Nmap |
6 |
SQLmap |
7 |
OpenVAS-VT |
8 |
Nuclei (github.com/projectdiscovery/nuclei) |
9 |
Hydra |
10 |
Nessus |
11 |
MEDUSA1.0 |
12 |
Brutus/AET2 |
13 |
Nikto |
14 |
Ruby WinRM Client |
15 |
Burp Suite |
-15 ,
L7 PT NAD . , , , Nuft. , . , 445- . . NTLM- Nuft.
OS Credential Dumping: DCSync . . nuft\scanmaste, . .
GitLab- Bank of FF SSH. SSH .
.
. , .
, RDP RDG-. , . , , , . HTTP. IP-, . URL - . POST, , - .
, -.
. , standoff356[.]com. , -. .
- . , DMZ Nuft, RAW TCP -.
- . . , : . SOCKS5. - olololo. DCERPC- nuft\Administrator. Impacket WMIExec. , -. WSUS.
, Exchange- , 172.20.62.6.
. , PT Sandbox -.
. — . . , , . , , , . PT NAD . — MaxPatrol SIEM, PT Application Firewall PT Sandbox — , .
: , Positive Technologies (PT Expert Security Center)